Kaj so zanikanje storitev in DDoS napadi?
Napadi DoS (Denial of Service) in DDoS (Distributed Denial of Service) postajajo vse pogostejši in močnejši. Napadi z zavrnitvijo storitve se pojavljajo v mnogih oblikah, vendar imajo skupen namen: preprečiti uporabnikom dostop do vira, ne glede na to, ali gre za spletno stran, e-pošto, telefonsko omrežje ali nekaj drugega. Oglejmo si najpogostejše vrste napadov na spletne cilje in kako lahko DoS postane DDoS.
Najpogostejši tipi napadov z zavrnitvijo storitve (DoS)
V svojem bistvu se napad z zavrnitvijo storitve običajno izvede s poplavljanjem strežnika, ki se pravi na strežniku, spletnega mesta - toliko, da ne more zagotoviti svojih storitev zakonitim uporabnikom. Obstaja nekaj načinov, kako se to lahko izvede, najpogostejši pa so napadi poplavljanja TCP in napadi ojačanja DNS.
Napadi zaradi poplavljanja TCP
Skoraj vsi spletni (HTTP / HTTPS) promet se izvaja s protokolom za nadzor prenosa (TCP). TCP ima več režijskih stroškov kot alternativni, UDP (User Datagram Protocol), vendar je zasnovan tako, da je zanesljiv. Dva računalnika, povezana drug z drugim prek TCP-ja, potrdita prejem vsakega paketa. Če potrditev ni zagotovljena, je treba paket ponovno poslati.
Kaj se zgodi, če se računalnik prekine? Morda uporabnik izgubi moč, njihov ponudnik internetnih storitev ima napako ali katero koli drugo aplikacijo, ki jo zapre, ne da bi o tem obvestil drug računalnik. Druga stranka mora ustaviti ponovno pošiljanje istega paketa ali pa zapravlja vire. Da bi preprečili neprekinjeno oddajanje, je podano trajanje časovne omejitve in / ali je omejitev, kolikokrat je mogoče paket ponovno poslati pred popolno prekinitvijo povezave..
TCP je bil zasnovan tako, da je omogočil zanesljivo komunikacijo med vojaškimi bazami v primeru katastrofe, vendar je ta sama zasnova občutljiva na napade z zavrnitvijo storitve. Ko je bil TCP ustvarjen, nihče ni prikazal, da ga bo uporabljalo več kot milijardo odjemalskih naprav. Zaščita pred sodobnimi napadi z zavrnitvijo storitve ni bila le del procesa oblikovanja.
Najpogostejši napad z zavrnitvijo storitve na spletne strežnike se izvaja s pošiljanjem paketov SYN (sinhronizacija). Pošiljanje SYN paketa je prvi korak vzpostavitve povezave TCP. Po prejemu paketa SYN se strežnik odzove s paketom SYN-ACK (potrditev potrditve). Nazadnje, odjemalec pošlje paket ACK (potrditev), ki zaključi povezavo.
Če se odjemalec ne odzove na paket SYN-ACK v določenem času, strežnik ponovno pošlje paket in počaka na odgovor. Ta postopek bo ponavljal znova in znova, kar lahko povzroči izgubo spomina in procesorskega časa na strežniku. Pravzaprav, če je dovolj storjeno, lahko zapravi toliko pomnilnika in procesorskega časa, da zakoniti uporabniki prekinejo svoje seje, ali pa se nove seje ne morejo zagnati. Poleg tega lahko povečana uporaba pasovne širine iz vseh paketov nasiči omrežja, zaradi česar ne morejo nositi prometa, ki ga dejansko želijo.
Napadi na ojačanje DNS
Napadi z zavrnitvijo storitve so lahko usmerjeni tudi na DNS strežnike: strežniki, ki prevajajo imena domen (kot je howtogeek.com) v naslove IP (12.345.678.900), ki jih računalniki uporabljajo za komunikacijo. Ko v brskalnik vnesete howtogeek.com, ga pošljejo na strežnik DNS. Strežnik DNS vas nato usmeri na dejansko spletno mesto. Hitrost in nizka latenca sta glavna pomisleka za DNS, zato protokol deluje prek UDP namesto TCP. DNS je kritičen del infrastrukture interneta in pasovna širina, ki jo porabijo zahteve DNS, je na splošno minimalna.
Vendar pa je DNS počasi naraščal, nove funkcije pa so se sčasoma postopoma dodajale. To je predstavljalo težavo: DNS je imel omejitev velikosti paketa 512 bajtov, kar ni bilo dovolj za vse te nove funkcije. Leta 1999 je IEEE objavil specifikacijo za mehanizme za razširitev DNS (EDNS), ki je povečala zgornjo mejo na 4096 bajtov, kar je omogočilo vključitev več informacij v vsako zahtevo..
Vendar je ta sprememba naredila DNS ranljivim za "napade ojačanja". Napadalec lahko pošlje DNS strežnikom posebej izdelane zahteve, pri čemer zahteva veliko količino informacij in prosi, naj se pošljejo na ciljni IP naslov. Ustvari se "ojačanje", ker je odziv strežnika veliko večji od zahteve, ki ga generira, in strežnik DNS bo poslal odgovor na ponarejen IP.
Mnogi strežniki DNS niso konfigurirani za zaznavanje ali izpuščanje slabih zahtev, zato, ko napadalci večkrat pošiljajo ponarejene zahteve, postane žrtev preplavljena z velikimi paketi EDNS, ki prenašajo omrežje. Njihovega zakonitega prometa ne bo mogoče obdelati s toliko podatkov.
Torej, kaj je porazdeljena Denial of Service (DDoS) Attack?
Razdeljen napad z zavrnitvijo storitve je tisti, ki ima več (včasih nevednih) napadalcev. Spletne strani in aplikacije so zasnovane za obvladovanje številnih sočasnih povezav - navsezadnje spletne strani ne bi bile zelo uporabne, če bi jih lahko obiskalo samo ena oseba. Ogromne storitve, kot so Google, Facebook ali Amazon, so zasnovane za upravljanje z milijoni ali desetimi milijoni sočasnih uporabnikov. Zaradi tega ni možno, da bi jih en napadalec zrušil z napadom zavrnitve storitve. Toda veliko napadalci.
Najpogostejši način za zaposlovanje napadalcev je preko botnet-a. V botnetu hekerji okužijo vse vrste internetnih naprav z zlonamerno programsko opremo. Te naprave so lahko računalniki, telefoni ali celo druge naprave v vašem domu, kot so DVR in varnostne kamere. Ko so okuženi, lahko uporabijo te naprave (imenovane zombiji), da se občasno obrnejo na ukazni in nadzorni strežnik in zaprosijo za navodila. Ti ukazi se lahko raztezajo od rudarskih kriptural do, da sodelujejo v napadih DDoS. Tako ne potrebujejo nobene tone hekerjev, da bi se združili - lahko uporabijo nezanesljive naprave običajnih domačih uporabnikov, da opravijo svoje umazano delo..
Drugi DDoS napadi se lahko izvajajo prostovoljno, običajno iz politično motiviranih razlogov. Stranke, kot je nizko Orbit Ion Cannon, naredijo DoS napade preproste in jih je enostavno razdeliti. Ne pozabite, da je v večini držav nezakonito (namerno) sodelovati v napadu DDoS.
Končno so lahko nekateri DDoS napadi nenamerni. Prvotno imenovan učinek Slashdot in posplošen kot "objem smrti", lahko ogromne količine zakonitega prometa onesposobijo spletno stran. Verjetno ste to videli že prej - priljubljene povezave do majhnega spletnega dnevnika in velik dotok uporabnikov po pomoti. Tehnično je to še vedno označeno kot DDoS, čeprav ni namerno ali zlonamerno.
Kako se lahko zaščitim pred zanikanjem napadov na storitve?
Tipičnim uporabnikom ni treba skrbeti, da bi bili tarča napadov z zavrnitvijo storitve. Z izjemo streamerjev in pro igralcev, je zelo redko, da bi bilo treba opozoriti na posameznika. To pomeni, da bi morali še vedno narediti vse, kar je v vaši moči, da zaščitite vse naprave pred zlonamerno programsko opremo, ki bi vas lahko naredila del botneta.
Če ste skrbnik spletnega strežnika, pa je na voljo veliko informacij o tem, kako zaščititi svoje storitve pred napadi DoS. Konfiguracija strežnika in naprave lahko ublažijo nekatere napade. Drugim je mogoče preprečiti, da nepreverjeni uporabniki ne morejo izvajati operacij, ki zahtevajo pomembne strežniške vire. Na žalost uspeh DoS napada največkrat določa, kdo ima večjo cev. Storitve, kot so Cloudflare in Incapsula, nudijo zaščito, saj stojijo pred spletnimi stranmi, vendar je lahko drago.